月初,德国下萨克森州数据保护机构LfD Niedersachsen依据GDPR对notebooksbilliger.de AG(NBB)处以1040万欧元的罚款。近日,该公司称其1040万美元的罚款是“非法的”,并誓言要反击。
NBB被指控,在没有法律依据的情况下,对员工进行了至少两年的视频监控。这些未经授权的摄像头覆盖了工作场所、销售室、仓库和公共区域等。LfD表示,只有在对特定的人有正当的怀疑,并且在有限的时间内,通过视频监控来发现犯罪行为才是合法的。声明称,NBB使用摄像头的范围既不限于特定员工,也不限于特定时间段,员工不应因受到普遍怀疑而放弃“个人权利”。
NBB首席执行官奥利弗•海尔莫德(Oliver Hellmold)表示:“这笔罚款完全不成比例。这与公司的规模和财务实力或涉嫌违规的严重程度无关。”
NBB现在发誓要挑战罚款:“我们认为这一决定是非法的,并要求废除该决定。”
NBB表示,在IT产品的存储、销售和发运过程中,使用摄像头跟踪货物流动是“航运和物流公司的标准程序”,并且这些摄像头并未用于监控员工的绩效或行为。NBB现在已经重新设计了其摄像机,使其能够以合规的方式工作。
GDPR中关于视频监控的指南:
对于个人数据及其保护,我们通常首先考虑姓名、地址、电话号码、生日等,然后考虑其他敏感信息,如银行账户详情、医疗记录或工作地点。但是,考虑到个人数据可以被定义为“与一个被识别的或可识别的人有关的任何信息”,因此在GDPR条例下,图像也必须同样小心地处理。
考虑到这一点,什么时候可以收集最具个人身份特征的数据片段——某人的面部图像?回答是,只要存在合法利益即可,例如在出于安全考虑需要它的环境中。然而,关于什么是可以接受的,什么是不能接受的,理论上的界限是——必须保护人们,但也必须保护他们的隐私。
为什么在GDPR中包括视频监视至关重要?
相机放置在合适的位置可以帮助抓小偷,防止危险事故,甚至保护城镇免受自然灾害。然而,虽然相机抓拍的照片是客观的,使用它们亦不能免除道德和法律义务。
视频监控的使用有时能起到一定的保护作用,但是有时也会威胁人们的自由。试想一下,如果一个复杂的面部识别和跟踪系统安装在一个专制政权下,可能会产生怎样的影响——任何熟悉乔治·奥威尔(George Orwell)的《1984》中的“老大哥”(Big Brother)的人都会对此不寒而栗。虽然这看起来像是科幻小说里的情节,但大规模的公共监控已经被滥用了。早些时候,英国四所学校的监控系统遭到黑客攻击,孩子们的视频在网上流传,这一事件表明,在没有监控人员许可的情况下,权限有可能落入不法分子之手。
这就是为什么视频片段作为个人数据被纳入GDPR。考虑到这一点,那些收集和处理视频监控产生的数据的人必须确保他们的工作符合准则。
如何确保您的视频数据是符合要求的?
这是一种复杂的平衡,既要确保你在保护人们的同时又要求不损害他们的隐私。以下是一些需要考虑的事情:
1. 使用安全系统
物联网(IoT)技术已被广泛应用于网络摄像机,从提供有价值的趋势洞察的智能分析,到将视频流传输到异地监视控制器,虽然将摄像头连接到互联网可以带来很多好处,但它也为黑客提供了额外的接入点,理论上他们可以利用它进行恶意攻击。为了减少被破坏的机会,应该为视频监视和连接购买高端安全软件和安全硬件,及时了解最新的网络安全最佳做法,并确保您的系统定期更新和维护,符合制造商的补丁和指导。
2. 有选择的设置摄像机
不能到处都放相机。检查站点上的主要风险/利益点,并将你的策略集中在这些领域。此外,请记住,在建立新系统时,有义务就“对公共场所进行广泛的系统监控”制定数据保护影响评估(DPIA)。问问你自己,这些地方是否是人们希望看到的地方(比如,不是洗手间!),同时确保你有“合法的利益”将照相机放在那里。通过针对性地进行监视,您仅收集必要的数据,这意味着您有合理的理由进行存储、分析和分类。由于公众有权询问你持有他们哪些数据,缩小视频数据采集点也会加快询问速度。
3.与值得信赖的合作伙伴合作
是否符合或违反GDPR的情况很大程度上取决于你如何使用第三方提供的服务。具体会产生什么样的GDPR义务,以及谁拥有这些义务,必须根据具体的应用程序进行审查。让我们以托管的监视服务为例,说明通常如何应用GDPR以及由谁负责什么:
警报运营商的客户:用户摄像头监控系统捕获并上传到系统的视频材料中所包含的个人数据的数据控制器。
警报操作员:代表用户的数据处理器,用于用户在系统中上传的个人数据(例如,用户员工信息和捕获的视频)。
系统提供商:代表警报操作员的数据处理器,用于处理警报操作员在系统中上载的个人数据(例如,警报操作员的雇员信息),以及代表警报操作员的个人数据子处理器,用于处理警报操作员的客户在系统中上载的个人数据(捕获的视频)。
托管Web服务:代表系统供应商的数据子处理器,用于接收报警运营商和报警运营商的客户(用户)在系统中上传的个人数据。
从上面可以看到,有多个利益相关者参与数据处理,所以使用信誉良好的公司来确保你的视频被正确管理是至关重要的。
最后,作为监控设备、监控解决方案和监控服务的用户,你有责任确保遵守GDPR并保障你处理个人数据的权利。因此,确保你已经完成了当前需求方面的功课是很重要的,这样你就可以管理你的义务,并保证与合规的供应商和供应商合作。同时你还应该能够依靠供应商和供应商的技术援助,通过更新和维护支持来促进GDPR的合规性。(本文出自SCA安全通信联盟,转载请注明出处。)
